
<div dir="ltr"><div>As part of this, SSH DSA keys were no longer being accepted by the server. However, there is no easy way for most non-MoCo contributors to change their SSH keys, whereas MoCo users and communitiy members with LDAP accounts can (and should!) use <a href="http://login.mozilla.com">login.mozilla.com</a> to update their keys. So a bunch of folks have been locked out with little recourse. <br><br>I've re-enabled the use of DSA keys on <a href="http://hg.mozilla.org">hg.mozilla.org</a>, and we will follow up in the next day or two with a plan for final retirement of DSA key access. We're hoping to enable the DSA key blocking again in a week or two, so if you can self-serve please do so. <br></div><div><br></div>K.<br><div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Apr 4, 2016 at 11:52 AM, Gregory Szorc <span dir="ltr"><<a href="mailto:gps@mozilla.com" target="_blank">gps@mozilla.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">We also changed the SSH server config to only support the "modern" set of<br>

ciphers, MACs, algorithms, etc from<br>

<a href="https://wiki.mozilla.org/Security/Guidelines/OpenSSH#Modern" rel="noreferrer" target="_blank">https://wiki.mozilla.org/Security/Guidelines/OpenSSH#Modern</a>. If you are<br>

running an old SSH client, it may not be able to connect.<br>

<br>

If you encounter problems connecting, complain in #vcs with a link to<br>

pastebinned `ssh -v` output so we can see what your client supports so we<br>

may consider adding legacy support on the server as a stop-gap. But<br>

upgrading your SSH client to something that supports modern crypto is<br>

highly preferred. More and more Mozilla systems will be adopting these<br>

"modern" SSH server settings. So you'll have to upgrade sometime.<br>

<div class=""><div class="h5"><br>

On Mon, Apr 4, 2016 at 8:36 AM, Gregory Szorc <<a href="mailto:gps@mozilla.com">gps@mozilla.com</a>> wrote:<br>

<br>

> This change was just made (we delayed because we didn't want to take<br>

> extra risks on a Friday afternoon).<br>

><br>

> A GPG signed document detailing the current keys is available at<br>

><br>

> <a href="https://hg.mozilla.org/hgcustom/version-control-tools/raw-file/tip/docs/vcs-server-info.asc" rel="noreferrer" target="_blank">https://hg.mozilla.org/hgcustom/version-control-tools/raw-file/tip/docs/vcs-server-info.asc</a><br>

><br>

> On 3/31/16 2:39 PM, Gregory Szorc wrote:<br>

> > This message serves as a notice that the *SSH host keys* for<br>

> > <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a> will be rotated in the next ~24 hours.<br>

> ><br>

> > When connecting to <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a> over SSH, your SSH client should warn<br>

> > that host keys have changed and refuse to connect until<br>

> > accepting/trusting the new host key. After 1st host key verification<br>

> > failure:<br>

> ><br>

> > 1) `ssh-keygen -R <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a>` to remove the old host key<br>

> > 2) `ssh <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a>` and verify the fingerprint of the new key<br>

> > matches one of the following:<br>

> ><br>

> > 256 SHA256:7MBAdqLe8+aSYkv+5/2LUUxd+WdgYcVSV+ZQVEKA7jA <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a><br>

> > (ED25519)<br>

> > 256 SHA1:Ft++OU96cvaREKNFCJ6AiuCpGac <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a> (ED25519)<br>

> > 256 MD5:96:eb:3b:78:f5:ca:19:e2:0c:a0:95:ea:04:28:7d:26 <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a><br>

> > (ED25519)<br>

> ><br>

> > 4096 SHA256:RX2OK8A1KNWdxyu6ibIPeEGLBzc5vyQW/wd7RKjBehc <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a><br>

> (RSA)<br>

> > 4096 SHA1:p2MGe4wSw8ZnQ5J9ShBk/6VA+Co <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a> (RSA)<br>

> > 4096 MD5:1c:f9:cf:76:de:b8:46:d6:5a:a3:00:8d:3b:0c:53:77 <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a><br>

> > (RSA)<br>

> ><br>

> > Q: What host key types were changed? We dropped the DSA host key and<br>

> > added a ED25519 host key. The length of the RSA key has been increased<br>

> > from 2048 to 4096 bits.<br>

> ><br>

> > Q: Does this impact connections to <a href="https://hg.mozilla.org/" rel="noreferrer" target="_blank">https://hg.mozilla.org/</a>? No. The x509<br>

> > certificate to the https:// endpoint is remaining unchanged at this<br>

> time.<br>

> ><br>

> > Q: Why is this being done? We are modernizing the server infrastructure<br>

> > of <a href="http://hg.mozilla.org" rel="noreferrer" target="_blank">hg.mozilla.org</a>. As part of this, we're bringing the hosts in<br>

> > compliance with Mozilla's SSH security guidelines<br>

> > (<a href="https://wiki.mozilla.org/Security/Guidelines/OpenSSH" rel="noreferrer" target="_blank">https://wiki.mozilla.org/Security/Guidelines/OpenSSH</a>).<br>

> ><br>

><br>

><br>

_______________________________________________<br>

dev-version-control mailing list<br>

<a href="mailto:dev-version-control@lists.mozilla.org">dev-version-control@lists.mozilla.org</a><br>

<a href="https://lists.mozilla.org/listinfo/dev-version-control" rel="noreferrer" target="_blank">https://lists.mozilla.org/listinfo/dev-version-control</a><br>

</div></div></blockquote></div><br></div></div></div>